گزارش امنیتی: ظهور TP-Link zero-day و هشدار CISA نسبت به سوءاستفاده مداوم مهاجمان
TP-Link وجود یک آسیبپذیری Zero-Day وصلهنشده را که چندین مدل روتر این شرکت را تحت تأثیر قرار میدهد، تأیید کرده است. این موضوع در حالی اعلام شد که CISA هشدار داده برخی دیگر از آسیبپذیریهای روترهای TP-Link پیشتر در حملات واقعی مورد سوءاستفاده قرار گرفتهاند.
این آسیبپذیری توسط محقق مستقل امنیتی Mehrun (ByteRay) شناسایی و در تاریخ ۱۱ مه ۲۰۲۴ به TP-Link گزارش شده است. شرکت چینی TP-Link در گفتوگو با BleepingComputer تأیید کرده که در حال بررسی میزان قابلیت بهرهبرداری و دامنه تأثیر این نقص امنیتی است.
طبق گزارشها، یک Patch برای مدلهای اروپایی توسعه یافته، اما هنوز برای نسخههای Firmware ایالات متحده و سایر مناطق جهانی وصلهای منتشر نشده و زمان مشخصی نیز برای انتشار ارائه نشده است.
TP-Link در بیانیهای رسمی اعلام کرده است:
«TP-Link از آسیبپذیری گزارششده در برخی مدلهای روتر، مطابق با یافتههای ByteRay، آگاه است. ما این گزارشها را جدی تلقی کرده و Patch لازم برای مدلهای اروپایی را توسعه دادهایم. همچنین کار روی انتشار بهروزرسانی برای نسخههای ایالات متحده و سایر مناطق در حال انجام است.»
در ادامه این بیانیه آمده است:
«تیم فنی TP-Link در حال بررسی دقیق شرایط افشای این نقص و الزامات مربوط به استقرار آن است؛ از جمله بررسی اینکه آیا CWMP (CPE WAN Management Protocol) بهصورت پیشفرض فعال است یا خیر. همچنین از تمامی کاربران خواسته میشود که Firmware دستگاههای خود را تنها از طریق کانالهای پشتیبانی رسمی TP-Link بهروز نگه دارند.»
این آسیبپذیری که هنوز CVE-ID دریافت نکرده، یک Stack-Based Buffer Overflow در پیادهسازی CWMP در تعداد نامشخصی از روترهای TP-Link است. طبق توضیحات محقق، نقص در تابعی که پیامهای SOAP SetParameterValues را پردازش میکند وجود دارد. علت اصلی مشکل، عدم انجام Bounds Checking در فراخوانیهای تابع strncpy است که امکان اجرای کد از راه دور (RCE) را در صورت عبور حجم Buffer از ۳۰۷۲ بایت فراهم میکند.
به گفته Mehrun، یک سناریوی حمله عملی شامل هدایت دستگاههای آسیبپذیر به یک سرور CWMP مخرب و ارسال Payload بزرگ SOAP برای ایجاد Buffer Overflow خواهد بود. این حمله میتواند با سوءاستفاده از Firmwareهای قدیمی یا استفاده از Credentials پیشفرض تغییرنیافته انجام گیرد.
در صورت بهرهبرداری موفق و دستیابی به RCE، مهاجم میتواند روتر را به اجرای اقدامات مخربی مانند تغییر مسیر درخواستهای DNS به سرورهای آلوده، شنود یا دستکاری ترافیک رمزنگارینشده، و تزریق Payloadهای مخرب در نشستهای وب وادار کند.
بر اساس تستهای انجامشده، مدلهای TP-Link Archer AX10 و Archer AX1500 در برابر این آسیبپذیری آسیبپذیر هستند. این دو مدل از جمله پرفروشترین روترهای TP-Link در بازارهای جهانی محسوب میشوند. همچنین احتمال آسیبپذیری مدلهای EX141، Archer VR400 و TD-W9970 و برخی دیگر از محصولات این شرکت نیز مطرح شده است.
تا زمان انتشار وصلههای رسمی، به کاربران توصیه میشود رمزهای عبور پیشفرض ادمین را تغییر دهند، در صورت عدم نیاز CWMP را غیرفعال کنند، آخرین نسخه Firmware موجود را نصب نمایند و در صورت امکان روتر را از شبکههای حیاتی سازمان جدا کنند.
هشدار CISA در مورد سوءاستفاده از آسیبپذیریهای TP-Link
دیروز CISA دو آسیبپذیری دیگر TP-Link با شناسههای CVE-2023-50224 و CVE-2025-9377 را به فهرست Known Exploited Vulnerabilities اضافه کرد. هر دو نقص امنیتی توسط Botnet موسوم به Quad7 در حملات فعال مورد سوءاستفاده قرار گرفتهاند.
- CVE-2023-50224: آسیبپذیری Authentication Bypass
- CVE-2025-9377: آسیبپذیری Command Injection
زنجیرهسازی این دو نقص به مهاجمان امکان دستیابی به Remote Code Execution بر روی دستگاههای TP-Link را میدهد.
از سال ۲۰۲۳، Botnet یادشده با سوءاستفاده از این آسیبپذیریها، Malwareهای اختصاصی بر روی روترها نصب کرده و آنها را به Proxy و Relay ترافیک تبدیل کرده است. مهاجمان چینی از این زیرساخت برای عبور حملات مخرب از میان ترافیک عادی و پنهانسازی فعالیتهای خود بهره میبرند.
در سال ۲۰۲۴ نیز Microsoft مشاهده کرده است که مهاجمان از طریق این Botnet حملات Password Spray را علیه سرویسهای Cloud و Microsoft 365 اجرا کرده و در تلاش برای سرقت اعتبارنامهها بودهاند.